IBM Cloud Docs
Conformité

Conformité

IBM® Cloudant® for IBM Cloud® fournit un système de base de données de cloud fiable et sécurisé. Ce service est basé sur les meilleures normes de l'industrie, notamment la norme ISO 27001:2013.

Systèmes physiques de niveau 1

IBM Cloudant DBaaS est physiquement hébergé sur Tier-1 les fournisseurs d'infrastructures cloud tels que IBM Cloud®. Vos données sont ainsi protégées par le réseau et les mesures de sécurité physiques mises en oeuvre par ces fournisseurs.

Règlement général sur la protection des données (RGPD)

Le règlement général sur la protection des données (RGPD) cherche à créer un cadre juridique harmonisé pour la protection des données dans l'Union européenne. Il vise également à redonner aux citoyens le contrôle de leurs données personnelles, tout en imposant des règles strictes aux entités qui hébergent et "traitent" ces données partout dans le monde. Ce règlement introduit également des règles relatives à la libre circulation des données à caractère personnel à l'intérieur et à l'extérieur de l'UE. Pour plus d'informations, consultez le IBM déclaration de confidentialité.

Loi HIPAA

IBM Cloudant respecte les contrôles IBM requis qui sont en accord avec les exigences de la loi sur la sécurité et la confidentialité HIPAA (Health Insurance Portability and Accountability Act) de 1996. Ces exigences incluent les protections administratives, physiques et techniques appropriées requises pour les partenaires accrédités (45 CFR, chapitre 160 et sous-chapitres A et C du chapitre 164). HIPAA doit être demandé au moment de l'application des accès et s'applique au plan Entreprise de IBM Cloudant. IBM Cloudant pour le plan dédié deIBM Cloud, et IBM Cloudant pour le plan dédié matériel sur IBM Cloud. Contactez votre ingénieur commercial pour signer un accord BAA (Business Associate Addendum) avec IBM.

ISO (International Organization for Standardization)

IBM Cloudant et IBM Cloudant Dedicated Cluster font l'objet d'audits effectués par une entreprise de sécurité tiers et répondent aux exigences des normes ISO 27001, ISO 27017 et ISO 27018. Pour plus d'informations, consultez le IBM Cloudant Page de conformité pour les liens vers les certificats. Les descriptions suivantes, disponibles sur la page relative à la conformité IBM Cloudant, couvrent le service IBM Cloudant et les certifications respectives :

  • Liste des produits de cloud certifiés IBM Cloud Services (PaaS et SaaS)
  • Certificat IBM Cloud Services (PaaS et SaaS) - ISO 27001
  • Certificat IBM Cloud Services (PaaS et SaaS) - ISO 27017
  • Certificat IBM Cloud Services (PaaS et SaaS) - ISO 27018

architecture PCI

Les plans IBM Cloudantsuivants sont conformes à la norme PCI DSS (Payment Card Industry Data Security Standard) :

  • Lite avec service partagé.
  • Standard.
  • Instances de plan standard déployées dans des environnements Dedicated Hardware.

IBM Cloud effectue des évaluations PCI DSS annuelles à l'aide d'un évaluateur de sécurité qualifié (QSA) approuvé. Les attestations de conformité (AOC) et les guides SRM (matrices de responsabilités des services) qui en résultent sont disponibles sur demande du client. Les auditeurs ont passé en revue IBM Cloudant pour vérifier sa conformité à la norme PCI DSS version 3.2.1 applicable aux fournisseurs de service de niveau 1.

Si vous prévoyez de stocker des informations sensibles dans une base de données IBM Cloudant, vous devez utiliser le chiffrement côté client pour rendre les données illisibles pour les opérateurs IBM Cloudant. Par exemple, pour la conformité PCI DSS, vous devez chiffrer le numéro de compte principal (PAN) avant d'envoyer un document qui le contient à la base de données.

Les clients sont responsables du stockage, du traitement et de la transmission de leurs données de titulaire de carte. Ils peuvent créer des environnements CDE (Cardholder Data Environment) acceptant le stockage, la transmission ou le traitement des données de titulaire de carte avec IBM Cloudant. Les clients peuvent utiliser les attestations de conformité et les guides SRM IBM Cloud lorsqu'ils recherchent leurs propres certifications PCI DSS. Il incombe au client de documenter et d'exploiter en conformité avec la norme PCI DSS les environnements CDE et les applications générés à l'aide des services de plateforme IBM Cloud.

La documentation IBM Cloudant sur la sécurité des services et la suppression des données couvre les méthodes de gestion des données des titulaires de cartes dans l'environnement selon les exigences de la norme PCI. Il incombe au client de se familiariser avec ces processus et de gérer la conservation et le retrait des données du service conformément à ses stratégies. Pour faciliter le traitement, aucune donnée de titulaire de carte ne peut être utilisée dans un ID de document IBM Cloudant. Si les données PAN doivent être stockées dans IBM Cloudant, ils doivent être rendus illisibles (conformément à l'exigence PCI 3.5) avant transmission au IBM Cloudant service.

Une liste complète des produits compatibles PCI DSS IBM Cloud Les services de plate-forme et les options permettant de demander un guide PCI DSS AOC et SRM sont disponibles à l'adresse IBM Cloud page de conformité.

Certifications SOC 1 Type 2, SOC 2 Type 2 et SOC 3

IBM fournit un rapport de contrôles de l'organisation de services (SOC) pour IBM Cloudant. Ces rapports évaluent les contrôles opérationnels d'IBM selon des critères définis par les principes Trust Services Principles de l'AICPA (American Institute of Certified Public Accountants). Ces derniers définissent les systèmes de contrôle adéquats et établissent les normes de l'industrie pour les fournisseurs de service, tels qu'IBM Cloud, afin de protéger les données et les informations de leurs clients.

Vous pouvez demander un rapport SOC depuis le portail client ou contacter votre représentant commercial. Vous pouvez également faire une demande au support avec leSupport IBM Cloud.